3 min read

Nota a ABF, Collegio di Milano, 31 maggio 2023, n. 5464.

Massima redazionale

In primo luogo, è l’intermediario a dover provare, oltre all’insussistenza di malfunzionamenti, l’autenticazione, la corretta registrazione e la contabilizzazione delle operazioni, dovendo in particolare fornire evidenza di aver applicato un c.d. “Sistema di autenticazione forte” (strong customer authentication o SCA), posto che ai sensi del comma 2bis dell’art. 12 D.lgs. n. 11/2010, come inserito dal D.lgs. n. 218/2017, «salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente.».

In secondo luogo, è sempre l’intermediario a dover provare tutti i fatti idonei ad integrare la colpa grave dell’utilizzatore, unica ipotesi in cui, oltre al dolo, lo stesso può patire le conseguenze dell’utilizzo fraudolento dello strumento di pagamento.

In tale contesto e con riguardo al caso di specie è possibile rilevare, quanto al primo dei suddetti passaggi e in base alle evidenze fornite agli atti della procedura, che l’intermediario resistente non ha assolto i propri oneri probatori avendo omesso di provare la corretta contabilizzazione, registrazione e autenticazione delle operazioni di pagamento disconosciute applicando un c.d. “Sistema di autenticazione forte” (strong customer authentication o SCA), dovendosi al riguardo ricordare che un tale sistema è richiesto dall’art. 10bis, comma 1, D.lgs. n. 11/2010 «quanto l’utente: a) accede al suo conto di pagamento on-line; b) dispone un’operazione di pagamento elettronico; c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi».

In particolare, premesso che le operazioni disconosciute sono state effettuate mediante digital wallet, dalle evidenze prodotte dall’intermediario non è possibile individuare il secondo fattore necessario per potersi ritenere provata la SCA, sia esso l’inerenza (nel caso di biometria) o la conoscenza (per l’ipotesi di PIN o password). Deve, infatti, ricordarsi che il Collegio di Coordinamento ha chiarito che «l’utilizzo di un wallet affidato a un terzo gestore per l’esecuzione di operazioni di pagamento non esime l’intermediario, in qualità di prestatore di servizi di pagamento, dall’onere di fornire prova dell’autenticazione forte delle operazioni compiute. La prova non può limitarsi alla fase di c.d. tokenizzazione della carta nel wallet, ma deve riguardare anche la fase esecutiva delle singole operazioni, non potendosi ritenere implicito che le transazioni siano state correttamente autenticate dal fatto che le stesse risultino autorizzate o comunque dalla sola evidenza che siano state effettuate in modalità contactless»[1].

Su tali presupposti, questo Collegio, in casi analoghi a quello in esame, ha ritenuto che «in assenza delle necessarie evidenze sull’autenticazione delle singole operazioni (restando incerto il secondo fattore: codice dispositivo o dato biometrico), non è consentito reputare integrata la prova della SCA»[2]. Ciò è di per sé sufficiente, secondo il consolidato orientamento[3], a condurre all’accoglimento della pretesa dell’utilizzatore dello strumento di pagamento che chiede il rimborso dell’operazione disconosciuta.

 

 

 

____________________________________

[1] Il riferimento è a ABF, Collegio di Coordinamento, 11.10.2021, n. 21285.

[2] Cfr. ABF. Collegio di Milano, 02.08.2022, n. 11626; ABF, Collegio di Milano, 10.01.2023, n. 143.

[3] Cfr. ABF, Collegio di Milano, 28.04.2021, n. 10983.

Seguici sui social:

Diritto del Risparmio wants you!

Aperto il contest per cercare nuovi Autori e nuove Autrici, da inserire nel nostro Organigramma, per instaurare collaborazioni redazionali occasionali.